Un interessante provvedimento emanato dell’Autorità garante, ovvero il  n.620 del 17 ottobre 2024 in materia di referti online, sorto a seguito di un reclamo pervenuto nei confronti di un noto Laboratorio medico, offre importanti spunti interpretativi dell’Autorità in materia.

Il caso nasce dall’invio via e-mail di un referto diagnostico – che conteneva, oltre ai dati sanitari di quest’ultima, anche tutti i dati anagrafici della stessa – ad un indirizzo e-mail errato, in quanto non corrispondente a quello della richiedente (tra l’altro genitore dell’interessata).

Al momento dell’invio il Laboratorio medico:

• non aveva predisposto una password di accesso per poter visionare il referto, una volta aperto l’allegato alla e-mail,
• sulla base di un documento interno “Consenso al trattamento dei dati”, aveva previsto che il referto si sarebbe potuto condividere, in formato PDF e senza l’utilizzo della password, sulla base del consenso dell’interessato (sottoscritto anche dalla paziente di cui al fatto avente originato il reclamo).

Il Laboratorio ha immediatamente intrapreso una serie di misure successive all’evento, contattando telefonicamente sia la paziente che il soggetto che aveva ricevuto erroneamente la documentazione, chiedendo a quest’ultimo, in particolare, di cancellare immediatamente quanto recapitatogli.

A seguito dell’incidente sono state poi adottate una serie di migliorie al sistema di trasmissione dei referti e sono stati posti in essere alcuni accorgimenti, tra cui:

• attività di formazione e istruzione ad hoc per il personale del centro, che tenesse conto dell’errore commesso e richiamasse ad una più generica attenzione del personale autorizzato;
• implementazione di un pop-up nel programma informatico utilizzato in sede di accettazione, atto a richiamare l’attenzione dell’operatore sulla correttezza dell’indirizzo e-mail comunicato dal paziente, per un ulteriore check pre-invio;
• inserimento, nella fattura consegnata al termine dell’accettazione, dell’indirizzo e-mail al quale il paziente ha chiesto l’invio del referto, sempre al fine di permettere un ulteriore controllo al personale;
• adeguamento dei sistemi informativi con dei codici criptati e un sistema di password, da fornire ai propri pazienti per accedere al referto allegato alla e-mail.

I riferimenti normativi

In materia di refertazione online, l’Autorità, per potersi esprimere sulla vicenda, ha tenuto conto:

1. del provvedimento del Garante del 19 novembre 2009 (pubblicato in G.U. n. 288 dell´11 dicembre 2009 “Linee guida in tema di referti on-line”, doc. web n. 1679033)
2. del d.P.C.M. dell’8 agosto 2013, recante “Modalità di consegna, da parte delle Aziende sanitarie, dei referti medici tramite web, posta elettronica certificata e altre modalità digitali, nonché di effettuazione del pagamento online delle prestazioni erogate”, su cui il Garante ha espresso parere favorevole (cfr. provvedimento 6 dicembre 2012, doc. web 2223206).

Per quanto riguarda le Linee Guida, che il Garante ha dichiarato essere applicabili anche alle strutture sanitarie private, viene precisato che, nel caso in cui il Titolare del trattamento intenda inviare copia del referto alla casella di posta elettronica dell’interessato, a seguito di sua richiesta, devono essere rispettate una serie di cautele:

1. il referto va inviato come allegato e non come testo compreso nel corpo del messaggio;
2. il file contenente il referto deve essere protetto con modalità idonee a impedire l’illecita o fortuita acquisizione delle informazioni trasmesse da parte di soggetti diversi da quello cui sono destinati, che potranno consistere in una password per l’apertura del file o in una chiave crittografica rese note agli interessati tramite canali di comunicazione differenti da quelli utilizzati per la spedizione dei referti (l’unica eccezione a tale tipo di cautela riguarda il caso in cui l’interessato faccia espressa e consapevole richiesta di ricevere il referto via e-mail senza una password o altro sistema di tutela della comunicazione). Ciò anche alla luce di quanto specificato nel provv. 288 del 2009, che prevede la “convalida degli indirizzi e-mail tramite apposita procedura di verifica on-line, in modo da evitare la spedizione di documenti elettronici, pur protetti con tecniche di cifratura, verso soggetti diversi dall’utente richiedente il servizio”;
3. idonei sistemi di autenticazione e di autorizzazione per gli incaricati in funzione dei ruoli e delle esigenze di accesso e trattamento (ad es., in relazione alla possibilità di consultazione, modifica e integrazione dei dati), prevedendo il ricorso alla strong authentication con utilizzo di caratteristiche biometriche nel caso del trattamento di dati idonei a rivelare l’identità genetica di un individuo;
4. separazione fisica o logica dei dati idonei a rivelare lo stato di salute e la vita sessuale dagli altri dati personali trattati per scopi amministrativo-contabili.

Il d.P.C.M. del 2013 si muove nella medesima direzione in quanto, nell’Allegato A del medesimo, si prevede che, sia in caso di consegna tramite posta elettronica ordinaria che tramite PEC “il referto digitale o la sua copia informatica devono essere spediti in forma di allegato a un messaggio e non come testo compreso nel corpo del messaggio” mentre, per il solo caso di invio tramite posta elettronica, “il referto digitale o la sua copia informatica devono essere protetti con tecniche di cifratura e accessibili tramite una password per l’apertura del file consegnata separatamente all’interessato”.

È bene poi ricordare – benché non rilevante ai fini del provvedimento, ma di interesse per gli operatori ad es. nel contesto della telemedicina – che il d.P.C.M. fornisce altresì indicazioni, sempre nell’Allegato A, per (i) la consegna di referti tramite web o FSE, nonchè (ii) per l’implementazione di servizi di notifica e per (iii) i servizi di inoltro dei referti digitali a un medico designato dall’interessato, oltre che riferimenti in merito al formato dei referti sanitari e ai requisiti “minimi” di sicurezza che le aziende sanitarie devono rispettare.

La sanzione applicata

Nella sua valutazione l’Autorità ha considerato che:

1. il Laboratorio, al momento del reclamo, non avesse messo in atto alcuna modalità volta a impedire l’illecita o fortuita acquisizione delle informazioni trasmesse da parte di soggetti diversi da quello cui sono destinati (come, ad esempio, una password per l’apertura del file o una chiave crittografica);
2. il consenso degli interessati alla trasmissione via mail dei referti “in formato PDF senza l’utilizzo di password” (formula comunque non assimilabile, a detta del Garante, ad una “espressa e consapevole” richiesta degli stessi), non sollevi comunque il titolare dall’obbligo di valutare, continuamente nel corso del tempo, un adeguato livello di sicurezza che tenga anche conto dello sviluppo tecnologico e dei nuovi rischi connessi al trattamento per i diritti e le libertà degli interessati.

Per tali ragioni il Garante ha rilevato l’illiceità del trattamento di dati personali effettuato dal Laboratorio medico, ed ha individuato la violazione degli artt. 5, par. 1, lett. f), 25 e 32 del GDPR.

La sanzione finale, alla luce di tutto quanto sopra, è stata poi di euro 7.000,00 (settemila/00), per le violazioni di cui sopra. In sede qualificazione, l’Autorità ha valutato positivamente i comportamenti posti in essere dal Laboratorio medico a seguito dell’evento.

Note conclusive

Il provvedimento in esame rappresenta un chiaro richiamo all’importanza di adottare misure di sicurezza realmente efficaci nella gestione dei dati personali, in particolare di quelli sanitari. Dimostra come non sia sufficiente rispettare formalità documentali, ma sia necessario progettare i trattamenti con una piena consapevolezza dei rischi e una concreta attenzione alla protezione delle informazioni, fin dalla fase iniziale.

L’episodio oggetto dell’istruttoria evidenzia quanto sia cruciale evitare prassi potenzialmente rischiose, come l’invio non protetto di referti via e-mail senza cautele aggiuntive, e ribadisce che la sicurezza dei dati deve essere parte integrante del servizio, non una sua opzione accessoria.

In questa prospettiva, il provvedimento costituisce anche un utile riferimento per tutti i soggetti che operano in ambito sanitario, pubblici e privati, indicando in modo chiaro quali misure debbano essere adottate per garantire una gestione corretta e sicura della documentazione sanitaria, in particolare quando oggetto di trasmissione al paziente.